Meta’s WhatsApp To Pay €5.5 Million Fine For GDPR Violations

A Comissão de Proteção de Dados da Irlanda (“DPC”) multou na quinta-feira o WhatsApp Irlanda, de propriedade da Meta, em €5,5 milhões (US$6 milhões) por violar o Regulamento Geral de Proteção de Dados (GDPR) da UE relacionado ao seu serviço no país.

Além da multa, a DPC da Irlanda deu ao gigante das redes sociais um período de seis meses para alinhar suas operações de processamento de dados às regras do GDPR ou enfrentar novas ações.

A recente multa da DPC é um grande golpe para a Meta, pois foi recentemente multada em 390 milhões de euros pelo mesmo órgão quando suas outras subsidiárias, Instagram e Facebook, foram consideradas em violação das regras do GDPR.

Em relação ao WhatsApp, a decisão tomada pela DPC é a conclusão de uma investigação sobre uma reclamação feita em 25 de maio de 2018, por um sujeito de dados alemão sobre o serviço do WhatsApp.

O reclamante contestou as novas regras do WhatsApp que exigiam que os usuários aceitassem os novos termos de ‘contrato’ para acessar seus serviços quando o GDPR entrou em vigor em 2018.

De acordo com os Termos de Serviço atualizados da plataforma, os usuários que desejassem continuar a ter acesso ao seu serviço WhatsApp após a introdução do GDPR tinham que escolher os Termos de Serviço atualizados. No caso de recusarem os termos, seus serviços não estariam acessíveis.

Em outras palavras, o WhatsApp estava efetivamente forçando os usuários a concordar com o processamento de dados se quisessem continuar usando os serviços, o que o reclamante argumentou ser uma violação do GDPR. O reclamante acreditava que os usuários deveriam ter uma escolha sobre os dados que são processados.

Após uma investigação abrangente pela DPC, o órgão regulador considerou o WhatsApp culpado de estar “em violação de suas obrigações em relação à transparência”, pois não forneceu clareza suficiente sobre como o processamento de dados e para quais propósitos isso foi feito.

A DPC constatou que o WhatsApp Irlanda não se baseou, de fato, no consentimento dos usuários como uma base legal para o processamento de seus dados pessoais.

O WhatsApp Irlanda “não tem direito de se basear na base legal contratual como uma base legal para o processamento de dados pessoais para fins de melhoria e segurança do serviço”, acrescentou e disse que a base legal para o processamento de dados do serviço está em violação da lei da UE.

A decisão final da multa adotada pela DPC em 12 de janeiro de 2023, segue as três decisões vinculativas do regulador de proteção de dados da UE, o Comitê Europeu de Proteção de Dados (EDPB), no início de dezembro.

Além da multa, o EDPB também supôs direcionar a DPC a conduzir uma nova investigação sobre o seguinte:

“As operações de processamento do WhatsApp IE em seu serviço a fim de determinar se processa categorias especiais de dados pessoais (Artigo 9 do GDPR), processa dados para fins de publicidade comportamental, para fins de marketing, bem como para a provisão de métricas a terceiros e a troca de dados com empresas afiliadas para fins de melhorias de serviço, e a fim de determinar se cumpre as obrigações relevantes sob o GDPR.”

Em resposta à decisão da DPC feita na quinta-feira, a Meta disse que irá apelar da decisão e procurará revertê-la.

“Acreditamos firmemente que a forma como o serviço opera é tanto técnica quanto legalmente compatível. Confiamos na necessidade contratual para fins de melhoria e segurança do serviço porque acreditamos que ajudar a manter as pessoas seguras e oferecer um produto inovador é uma responsabilidade fundamental na operação do nosso serviço”, disse um porta-voz do WhatsApp.

“Discordamos da decisão e pretendemos apelar.”